一、什么是ISO27001標(biāo)準(zhǔn)？


什么是信息安全管理：通過(guò)計(jì)劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來(lái)協(xié)調(diào)人力、物力、財(cái)力等資源，以期有效達(dá)到組織信息安全目標(biāo)的活動(dòng)。

信息安全管理體系（Information Security Management System，簡(jiǎn)稱ISMS）。最初由英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（BSI）提出，分為兩個(gè)部分：BS7799-1《信息安全管理實(shí)施細(xì)則》、BS7799-2《信息安全管理體系規(guī)范》。在2005年10月，該規(guī)范通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC27001，被廣泛接受。這套標(biāo)準(zhǔn)是建立信息安全管理體系的一套需求規(guī)范，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。

ISO27001信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。



二、標(biāo)準(zhǔn)的目標(biāo)?


信息作為組織的重要資產(chǎn)，需要得到妥善保護(hù)。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問(wèn)世及網(wǎng)上交易的啟用，許多信息安全的問(wèn)題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營(yíng)管理、生存甚至國(guó)家安全都帶來(lái)嚴(yán)重的影響。

在享用現(xiàn)代信息系統(tǒng)帶來(lái)的快捷、方便的同時(shí)，如何充分防范信息的損壞和泄露，已成為當(dāng)前企業(yè)迫切需要解決的問(wèn)題。

現(xiàn)代組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個(gè)重要的問(wèn)題。所以，我們需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。


三、標(biāo)準(zhǔn)適用范圍?


ISO27000信息安全管理認(rèn)證標(biāo)準(zhǔn)族包括：
A：ISO27000 原理與術(shù)語(yǔ)Principles and vocabulary。
B：ISO27001 信息安全管理體系—要求 ISMS Requirements (以BS7799-2為基礎(chǔ))。
C：ISO27002 信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)范 (ISO/IEC 17799:2005)。
D：ISO27003 信息安全管理體系—實(shí)施指南ISMS Implementation guidelines。
E：ISO27004 信息安全管理體系—指標(biāo)與測(cè)量ISMS Metrics and measurement。
F：ISO27005 信息安全管理體系—風(fēng)險(xiǎn)管理ISMS Risk management。
G：ISO27006 信息安全管理體系—認(rèn)證機(jī)構(gòu)的認(rèn)可要求ISMS Requirements for the accreditation of bodies providing certification。
H：ISO27007 信息技術(shù)-安全技術(shù)-信息安全管理體系審核員指南。Information technology_Security techniques_ISMS auditor guidelines。


ISO/IEC 27001是由國(guó)際標(biāo)準(zhǔn)化組織發(fā)布的國(guó)際標(biāo)準(zhǔn)，包括物理和環(huán)境安全、操作安全、通信安全等14個(gè)控制域、114項(xiàng)控制措施，覆蓋公司信息安全的各個(gè)領(lǐng)域，是當(dāng)前信息安全管理領(lǐng)域最權(quán)威的國(guó)際通用標(biāo)志，在金融、互聯(lián)網(wǎng)、人工智能、制造、航空運(yùn)輸?shù)雀鱾€(gè)行業(yè)有著較多的最佳實(shí)踐。


信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。

四、標(biāo)準(zhǔn)的特點(diǎn)?

1、ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的，這一標(biāo)準(zhǔn)中的編號(hào)系統(tǒng)和文件管理需求的設(shè)計(jì)初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來(lái)說(shuō)，組織通常會(huì)使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu)，來(lái)提供ISO27001認(rèn)證服務(wù)。正是因?yàn)檫@個(gè)緣故，在ISMS體系建立的過(guò)程中，質(zhì)量管理的經(jīng)驗(yàn)舉足輕重。


2、ISO27001管理體系的框架
ISO組織于2013年9月26日，推出了最新的版本ISO/IEC27001:2013信息安全管理體系標(biāo)準(zhǔn)，其框架圖如下：



3、PDCA持續(xù)改進(jìn)理論
基于PDCA循環(huán)框架構(gòu)建信息安全管理體系，通過(guò)規(guī)劃、設(shè)計(jì)實(shí)施、監(jiān)控審計(jì)、以及持續(xù)改進(jìn)，保證體系運(yùn)作的有效性和長(zhǎng)效性，真正實(shí)現(xiàn)信息安全的持續(xù)改進(jìn)和優(yōu)化，從而保障組織的業(yè)務(wù)安全。


這也是一套通用的信息安全PDCA循環(huán)方法論。無(wú)論互聯(lián)網(wǎng)企業(yè)，還是傳統(tǒng)的金融行業(yè)，都可以采用這種方式。


五、實(shí)施ISO27001標(biāo)準(zhǔn)認(rèn)證的意義？

信息安全管理體系標(biāo)準(zhǔn)（ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似于質(zhì)量管理體系認(rèn)證的ISO9001標(biāo)準(zhǔn)。

ISO27001信息安全管理體系認(rèn)證效益：
1、通過(guò)定義、評(píng)估和控制風(fēng)險(xiǎn)，確保經(jīng)營(yíng)的持續(xù)性和能力
2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力，提升企業(yè)形象
4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失
5、建立安全工具使用方針
6、謹(jǐn)防技術(shù)訣竅的丟失
7、在組織內(nèi)部增強(qiáng)安全意識(shí)
8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)